Где и как получить усиленную квалифицированную электронную подпись КЭП физическому и юридическому лицу, о чем следует помнить при её оформлении

Где и как получить усиленную квалифицированную электронную подпись КЭП физическому и юридическому лицу, о чем следует помнить при её оформлении

Применение электронной подписи (ЭЦП) становится повсеместным. Рассмотрим подробнее, чем это обусловлено, каким образом заинтересованному лицу следует «вливаться» в национальный тренд увлеченности электронными подписями, и в связи с чем такая увлеченность может иметь пределы.

 
 

Для чего нужна электронная подпись

ЭЦП предназначена ровно для того же, что и подпись обычная. То есть — для удостоверения авторства (юридической принадлежности) определенного документа (в данном случае — компьютерного документа в широком смысле, который может быть, в принципе, представлен любым файлом).

Еще одна полезная функция, типичная, в свою очередь, именно для ЭЦП — удостоверение факта неизменности документа (файла) в период между моментом его подписания и моментом его получения (прочтения) адресатом. Файл, подписанный электронной подписью, и его копия, полученная адресатом, не должны отличаться ни на байт ни по объему, ни по структуре.

В свою очередь, очевидно, что обычная «бумажная» подпись весьма условно гарантирует неизменность подписанного документа — поскольку, так или иначе, сохраняется техническая возможность внесения корректировок в уже заверенный документ (и признание его вследствие таких корректировок недействительным, как правило, требует отдельной экспертизы).

Подписание же документа электронной подписью (при условии соблюдения всех предусмотренных законом процедур, характеризующих такое действие) априори считается неоспоримым, и в большинстве случаев практически безальтернативно формирует правовые последствия (но о возможных альтернативах тому мы поговорим далее).

Кто может использовать ЭЦП

Электронная подпись может быть оформлена на:

1. Физическое лицо

В этом случае она, фактически, будет заменять личную подпись человека. Возможны правоотношения, при которых физлицо будет доверенным лицом другого человека, и в этом случае оформляется доверенность на представление интересов носителя ЭЦП сторонним лицом.

2. Юридическое лицо

В этом случае она, как правило, заменяет подпись директора (бухгалтера) и иного лица, от имени которого организация вступает в правоотношения, при которых подписываются электронные документы.

Иногда ЭЦП оформляется на юрлицо «как на юрлицо» — выступающее самостоятельным субъектом правоотношений. Это возможно если, например, одна организация выступает законным представителем другой (как вариант, в силу того, что в пользу первой органами управления второй делегированы полномочия по принятию решений о вступлении в те или иные правоотношения).

Вместе с тем, внутренними регламентами хозяйствующего субъекта должен быть, так или иначе, определен ответственный сотрудник, который фактически применяет электронную подпись — чтобы не было ситуаций, когда от имени фирмы подписан важный электронный документ, и непонятно, кто конкретно это сделал.

Если локальным нормативом не определено, кто задействует корпоративную ЭЦП, то таким лицом по умолчанию будет считаться директор фирмы — это предписано положениями ст. 14 Закона № 63 «Об электронной подписи».

Указанный закон — главный федеральный нормативный акт, который регламентирует применение ЭЦП. Во всех случаях, когда возникают вопросы по использованию электронной подписи — обращаемся к положениям Закона № 63-ФЗ (ССЫЛКА).

Стоит отметить, что электронная подпись не призвана и не может по закону заменить печать организации. Дело в том, что печать — это атрибут исключительно бумажного документооборота. Если по законодательству она нужна для заверения того или иного документа, то ЭЦП для такого документа использовать не получится. Но отметим, что законодательство в части регулирования применения печати имеет в последнее время тенденцию к смягчению. Так, что касается договоров между частными организациями — печать в них с 2015 года необязательна. То же касается и налоговой отчетности.

Но если речь идет о заполнении, к примеру, трудовой книжки — то на ней печать ставить обязательно. По крайней мере, о необходимости ее применения в письме от 15.05.2015 № 1168-6-1 говорит Роструд. Поэтому, заверить трудовую книжку с помощью ЭЦП не получится. Собственно, пока что электронный формат трудовой книжки и не предусмотрен законом. Отметим, что на уровне экспертных дискуссий и даже властных структур обсуждается возможность внедрения электронных трудовых книжек — но пока неясно даже то, что они будут представлять собой на уровне концепции — аналог бумажной трудовой книжки, но в электронном виде, или же некий набор файлов, заменяющих трудовую книжку и адаптированных к подписанию с помощью электронной подписи.

В свою очередь, законодательство может устанавливать прямой запрет на применение ЭЦП при использовании конкретных разновидностей документов. Так, например, трудовой договор не может быть заключен между работником и работодателем при условии применения электронной подписи — поскольку составляется он в юрисдикции трудового права, где использование ЭЦП не регламентировано, а значит — не разрешено.

Как правило, крайне ограничены возможности применения электронной подписи в рамках документооборота между физлицами или хозяйствующими субъектами, представляющими разные страны. Пока что наша страна не подписала никаких международных правовых актов, которые бы регламентировали применение не то, чтобы «интернациональной» электронной подписи, но и той, что позволяла бы взаимодействовать представителям хотя бы двух разных стран. Даже если это очень близкие, союзнические государства — например, Россия, Казахстан, Беларусь, установить единый межгосударственный стандарт применения электронной подписи может быть крайне непросто. Но, безусловно, работа в этом направлении ведется — и есть сведения, что в ближайшее время страны ЕАЭС примут международный правовой акт, регламентирующий ведение электронного документооборота в рамках межгосударственного объединения.

 

Таким образом, несмотря на то, что ЭЦП призвана быть аналогом обычной подписи физлица (представляющего себя или организацию), и даже улучшенным аналогом — обеспечивающим, в частности, защиту документа от изменений, на практике она может быть задействована далеко не во всех правоотношениях. Хотя, безусловно, спектр таких правоотношений становится все шире. Он уже охватывает практически любые гражданско-правовые, финансовые отношения, многие аспекты административных правоотношений. Скорее всего, весьма скоро будут приняты необходимые поправки и в трудовое законодательство, благодаря которым электронную подпись можно будет применять и в правоотношениях между работником и работодателем.

С учетом отмеченной особенности применения электронной подписи — когда ее использование возможно, только если прямо разрешено или прямо не запрещено законом, организация электронного документооборота может потребовать применения ЭЦП в нескольких разновидностях — каждая из которых будет соответствовать требованиям законодательства, регулирующего конкретную сферу правоотношений. На практике ситуация в сфере электронного документооборота складывается именно так. Современное предприятие и даже обычный гражданин для подписания электронных документов могут быть обязаны иметь несколько подписей, например:

  • для налоговой отчетности, запросов в государственные органы (например, через сайт «Госуслуги»);
  • для частных гражданско-правовых отношений;
  • для взаимодействия с банками, иными финансовыми организациями.

Видео — о преимуществах использования КЭП в электронном документообороте:

Теперь — изучим то, каковы основные принципы заверения документов с помощью ЭЦП. Изучить их полезно в контексте рассмотрения характеристик разновидностей электронных подписей.

Виды ЭЦП и их отличия

Основной критерий полезности любой подписи — уникальность, благодаря которой ее нельзя просто так скопировать либо воспроизвести. Обычная подпись — это уникальное графическое изображение от руки, которое полностью воспроизвести может только ее автор. В свою очередь, электронная подпись — это формируемая с помощью специального ПО уникальная последовательность цифровых символов, воспроизвести которую может только легальный правообладатель ЭЦП.

На практике такая последовательность может быть представлена:

  1. Сочетанием логина и пароля (либо только паролем) к электронной почте или иному инструменту обмена электронными документами.

Отправляя файл со своего электронного ящика, человек, до того вошедший в свой аккаунт с помощью известных только ему логина и пароля, удостоверяет авторство и принадлежность отправляемого файла.

В данном случае он задействует так называемую простую электронную подпись — ту, что позволяет показать получателю документа, кто его отправил, и удостоверить тот факт, что документ был отправлен с ведома его автора (правообладателя).

Разумеется, юридическую принадлежность документа, подписанного таким способом, устанавливать следует крайне осторожно. Совершенно очевидно, что любой человек, зная пароль от ящика, сможет выдать себя за владельца данного ящика и отправить от его имени любые документы.

  1. Цифровым кодом, который определенным образом будет привязан к подписываемому документу и позволит достоверно установить его авторство и юридическую принадлежность.

Соответствующий код — несоизмеримо более сложный в сравнении с паролем на e-mail. Более того, само по себе его знание — пусть и в точности до буквы, ничего не даст с точки зрения его возможного воспроизведения без ведома владельца ЭЦП. Дело в том, что данный код — однократный и составляется для конкретного документа, подписываемого конкретным субъектом правоотношений. Чтобы повторить код в нужной структуре (той, что дает основания считать его легальным), подписывающему документ лицу необходимо иметь доступ к оригинальным аппаратно-программным интерфейсам электронной подписи (далее в статье мы рассмотрим, что они собой представляют). Если такого доступа нет, то подделать подпись и выдать себя за автора (правообладателя) документа у стороннего лица не получится.

Речь идет о применении так называемой усиленной цифровой подписи. При этом, она бывает 2 видов:

  • неквалифицированной;
  • квалифицированной.

Разница между ними по существу лишь в одном: квалифицированная электронная подпись (КЭП) — это та, что одобрена уполномоченными государственными органами. Технологически оба вида усиленной подписи работают по единым принципам (которые, вместе с тем, могут различаться с точки зрения степени соответствия ЭЦП государственным стандартам).

Квалифицированную электронную подпись правомерно отнести к числу самых востребованных разновидностей ЭЦП, поскольку в большинстве правоотношений такая подпись приравнивается к обычной (документы, подписанные с ее помощью, имеют такую же юридическую силу, как и заверенные обычной подписью на бумаге).

 

Выдаются квалифицированные электронные подписи специализированными организациями — удостоверяющими центрами. Они имеют необходимую государственную аккредитацию, и, соответственно, правомочия на оформление соответствующих ЭЦП.

Таким образом, говоря об «электронной подписи» в бизнесе или во взаимодействии органов власти, по умолчанию можно подразумевать под ней именно квалифицированную подпись КЭП — как полностью удовлетворяющую требованиям, прописанным в законодательстве на уровне федеральных общеотраслевых норм и государственных стандартов.

Изучим подробнее то, на основе каких принципов применяется КЭП (во многом они будут совпадать с теми, что характеризуют и неквалифицированную усиленную ЭЦП).

КЭП что это такое и как она работает

Тот или иной документ (файл) подписывается с помощью КЭП так:

  1. Специальная шифровальная программа — например, офлайновая «КриптоАрм» или специальный облачный интерфейс на сайте таких поставщиков как компания «Контур», считывает документ и при необходимости формирует его хэш — уникальное описание, позволяющее идентифицировать документ.

Каких-либо изменений в документ не вносится. В этом отличие ЭЦП от обычной подписи, которая проставляется на документ и становится его частью.

  1. На основании считанных данных (сформированного хэша) шифровальная программа, используя специальные программные алгоритмы (закрытый ключ) формирует ЭЦП — уникальную (то есть, предназначенную специально для считанного файла или его хэша) последовательность символов — тот самый цифровой код. Логика, по которой выстраивается данная последовательность, определяется сложным программным алгоритмом — настолько сложным, что несанкционированно воспроизвести его, не имея доступа к конкретному закрытому ключу, крайне сложно.

Закрытый ключ электронной подписи обычно размещается на надежном носителе, который находится в распоряжении владельца ЭЦП. Это может быть eToken, флешка, облачное хранилище или иной доступный или рекомендованный носитель.

носитель ключа электронной подписи что это такое

Закрытый ключ ЭЦП всегда уникален. Он оформляется на конкретного пользователя с помощью мощных шифровальных алгоритмов, которые с применением компьютеров на современном уровне технологического развития практически невозможно расшифровать — соответственно, как и подделать закрытый ключ.

Во многих случаях его сложно хотя бы просто скопировать, поскольку программный алгоритм применения закрытого ключа записывается в файл, не открытый для чтения полностью. Поэтому, если владелец КЭП держит защищенную флешку с закрытым ключом при себе — ему не нужно бояться, что кто-либо подпишется за него с использованием стороннего устройства.

Во многих случаях доступ к закрытому ключу защищается дополнительно — с помощью PIN-кодов, паролей, алгоритмов SMS-авторизации и иных, которые позволяют свести к минимуму вероятность использования закрытого ключа кем-либо, кроме владельца электронной подписи.  В последнее время разрабатываются различные биометрические механизмы идентификация владельца ЭЦП (по отпечатке пальца, сетчатке глаза и иным индивидуальным внешним признакам человека).

В соответствии с п. 1 ст. 10 Закона № 63, владелец ЭЦП обязан обеспечивать конфиденциальность закрытого ключа подписи. То есть — не давать «флешку» с ЭЦП никому, и немедленно информировать удостоверяющий центр о фактах незаконной передачи носителя ключа электронной подписи стороннему лицу (после чего УЦ заблокирует подпись).

Правовые последствия при использовании усиленной квалифицированной электронной подписи — те же, что и при использовании подписи на бумаге. При этом, номинальному владельцу подписи придется нести ответственность даже за несанкционированное применение КЭП. Далее в статье мы изучим то, какими могут быть последствия (ответственность владельца ЭЦП) при применении подписи (в том числе неустановленными лицами), и в каких случаях они могут быть аннулированы судом. Но пока продолжим рассматривать алгоритм применения КЭП — он включает в себя довольно много этапов.

 

Сформированная шифровальной программой (закрытым ключом) ЭЦП может быть:

  • объединена с подписываемым документом в один файл определенного формата (например, файл SIG – используемый в «КриптоАРМ»);
  • размещена в отдельном файле, который связан с подписываемым (как правило, размещен в одной папке с ним).

Первый вариант удобен тем, что отсутствует риск случайного разобщения ЭЦП и подписанного файла. Второй — тем, что при необходимости подписанный файл можно будет открыть и прочитать (правда, без удостоверения его подлинности) с помощью привычного редактора (в то время как для открытия файла SIG потребуется та же шифровальная программа или иная совместимая, которой у получателя файла по каким-то причинам может не оказаться).

Есть и более сложные алгоритмы обеспечения взаимосвязи подписанного файла (его хэша) и ЭЦП. Например, при облачном документообороте файлы могут располагаться в одних серверных каталогах, а ЭЦП для них — в других.

ЭЦП, записанная в файл (или включенная, наряду с подписанным документом, в состав файла SIG), может дополняться иными типами данных. Например — сведениями о сертификате открытого ключа подписи. О нем следует сказать отдельно.

Какую информацию содержит сертификат электронной подписи

Важнейший компонент процедуры подписания файла — отражение в структуре ЭЦП сведений о сертификате открытого ключа электронной подписи. Общераспространен технологический подход, по которому данные о сертификатах владельцев ЭЦП (и, собственно, сами файлы сертификатов) располагаются на серверах в интернете (в то время как в структуре ЭЦП отражается лишь приведенная в установленном формате ссылка на сертификат). Поэтому, для проверки сертификата компьютер отправителя (как и получателя, который затем будет удостоверять подлинность ЭЦП) электронного документа должен быть подключен к интернету.

Какую информацию содержит сертификат электронной подписи - раздел состав

Сертификат электронной подписи призван удостоверить, что:

  1. Владелец электронной подписи правомочен подписывать документы — то есть, задействовать имеющийся у него закрытый ключ ЭЦП. Сертификат показывает, что физлицо или хозяйствующий субъект в лице управомоченного физлица имеет законное разрешение на применение ЭЦП.

Сертификат электронной подписи имеет «визуализированную» часть — текстовый блок, который содержит конкретную информацию об отправителе (например, его ФИО, юридический статус). Благодаря такой визуализации, получатель документа сам может удостовериться в том, что документ получен именно от того лица, которое и должно было отправить его.

Здесь получателю документа (файла), подписанного КЭП, стоит быть очень внимательным. По всем признакам ЭЦП может быть легальной, ее сертификат — действительным. Однако, если выяснится, что ФИО владельца электронной подписи не совпадает с ФИО человека, от которого ожидался файл — лучше повременить с подтверждением его получения (которое осуществляется, в свою очередь, с помощью электронной подписи получателя при ее наличии либо иным способом, о котором договорились стороны).

  1. Владелец КЭП правомочен подписывать документы в конкретных правоотношениях.

То есть, сертификат в данном случае играет роль разграничителя полномочий владельца в части подписания документов: он регулирует «уровень доступа» человека к различным сферам документооборота.

Таким образом, для того, чтобы задействовать закрытый ключ — формирующий код ЭЦП в конкретных правоотношениях, человек должен иметь действующий сертификат электронной подписи для таких правоотношений.

Сертификат имеет определенный срок действия (как правило, 1-3 года в зависимости от конкретной разновидности ЭЦП). Если он истек, то авторство (юридическая принадлежность) документа не подлежат удостоверению, поскольку формально будет считаться, что документ подписан не владельцем.

Если владелец электронной подписи случайно потерял носитель закрытого ключа (либо есть подозрения, что его могут использовать неустановленные лица либо те лица, которые не имеют на то разрешения), то ему нужно немедленно отозвать (аннулировать) свой сертификат через УЦ. Если после отзыва сертификата кто-либо (или сам владелец, если найдет носитель) воспользуется закрытым ключом, то ЭЦП не будет считаться легальной. При этом, во многих случаях шифровальные программы, взаимодействуя с серверами УЦ, сами обнаруживают, что сертификат открытого ключа недействителен, и блокируют закрытые ключи.

Видео — поясняет какую информацию содержит сертификат электронной подписи (с 9.35):

Как проверяется усиленная квалифицированная электронная подпись

Подписанный с помощью электронной подписи файл (либо «обобщенный файл» в формате, подобном SIG) можно сколько угодно раз копировать и передавать любым заинтересованным лицам. Например — контрагенту (если речь идет о подписании договора или акта), государственному органу (если речь идет о налоговой или иной отчетности), банку (если туда направляется платежное поручение). Их задача — осуществить проверку полученного файла на предмет подлинности и авторства (юридической принадлежности).

Проверка подлинности файла (авторства или юридической принадлежности) получателем, как правило, требует применения той же шифровальной программы, что задействована субъектом, который подписал документ. Либо — совместимого с ней решения. В обоих случаях в распоряжении пользователя будет открытый ключ — общедоступный программный алгоритм, приспособленный к считыванию электронных подписей, которые сформированы с помощью закрытых ключей владельцев ЭЦП.

Технически открытый ключ входит в структуру сертификата электронной подписи. Программа, с помощью которой получатель открывает подписанный файл, считывает данный открытый ключ и задействует заложенный в нем алгоритм для прочтения закрытого ключа (и последующего анализа содержания сертификата).

Процедура проверки подлинности ЭЦП предполагает:

  1. Считывание электронной подписи (как файла, связанного с документом или как части файла SIG) и самого подписанного документа открытым ключом, анализ кода ЭЦП на предмет соответствия содержанию файла (хэша).

На данном этапе устанавливается:

  • тот факт, что в распоряжении получателя — документ, который полностью идентичен по содержанию тому, который подписан отправителем;
  • тот факт, что документ подписан легальным закрытым ключом.
  1. Проверку сертификата ЭЦП.

Если выяснится, что сертификат действителен, то достоверно устанавливаются:

  • правомерность подписания документа отправителем;
  • авторство и юридическая принадлежность документа.
  1. Установление факта подлинности документа — при отсутствии подозрений на то, что в документе есть какие-либо изменения в сравнении с оригинальным подписанным файлом, а также подозрений на наличие проблем с сертификатом.

Документ, прошедший указанные этапы проверки, приобретает полноценную юридическую силу в рамках тех правоотношений, для которых оформлен сертификат электронной подписи.

Итак, механизм применения усиленной квалифицированной электронной подписи предполагает использование:

  1. Закрытого ключа — программного алгоритма, посредством которого формируется уникальный код ЭЦП для конкретного документа (файла), позволяющий:
  • установить факт неизменности документа между моментом его подписания и моментом открытия получателем;
  • установить факт подписания документа конкретным легальным образцом ЭЦП.
  1. Сертификата — документа, позволяющего:
  • установить, что закрытый ключ применен именно владельцем ЭЦП;
  • установить, что владелец электронной подписи, применивший закрытый ключ, правомочен подписывать документы в рамках конкретных правоотношений.
  1. Открытого ключа — программного алгоритма, который включается в состав сертификата.

Данный алгоритм запускается на стороне получателя электронного документа, которая считывает закрытый ключ, анализирует его, позволяет получателю документа ознакомиться с данными о сертификате электронной подписи.

Документ, прошедший успешную проверку, формирует, таким образом, правовые последствия. Например, если это налоговая отчетность — то считается проинформированной о хозяйственных показателях налогоплательщика, и исходя из полученных данных будет проводить проверку. Если это договор — подписавшая сторона приобретает установленные им права и обязанности.

Но совершенно не исключено, что по факту подписания документа с помощью ЭЦП ее владелец обнаруживает, что лучше бы ничего не подписывал. Что ему делать в такой ситуации? Можно ли каким-либо способом отозвать электронную подпись, однажды проставленную на документе?

Можно ли аннулировать документ,  подписанный ЭЦП?

Электронная подпись, которая в соответствии с законом или договором признана аналогом собственноручной подписи человека, не подлежит отзыву — ровно как и сама собственноручная подпись. При этом, такое отождествление подписей устанавливается только при соблюдении определенных критериев. Если такие критерии не соблюдены — подпись, в свою очередь, не будет считаться аналогом собственноручной, и потому попросту не будет признана действительной.

В соответствии с положениями статьи 6 Закона № 63, документы, подписанные с помощью электронной подписи, признаются юридически равнозначными тем, что заверены собственноручной подписью:

  1. Во всех случаях, когда применена усиленная квалифицированная электронная подпись. Разумеется — при условии, что она применена с действующим сертификатом и с помощью легального закрытого ключа.

Исключение — когда применение ЭЦП прямо запрещено (или не разрешено) федеральным нормативным актом (как в случае с запретом на применение ЭЦП при составлении трудового договора).

  1. Когда применены простая или неквалифицированная электронная подпись — при соблюдении следующих условий:
  • если соответствующие ЭЦП приравнены к собственноручной законом или договором между конкретными сторонами правоотношений;
  • если сторонами правоотношений определен порядок проверки ЭЦП.

В отношении простой ЭЦП установлен ряд дополнительных требований. Так, она признается аналогом собственноручной, если:

  • соответствует критериям, прописанным в статье 9 Закона № 63;
  • соглашением участников электронного документооборота установлены правила идентификации автора (правообладателя) документа, а также правила, определяющие обязанности ответственных лиц обеспечивать конфиденциальность ЭЦП.

При этом, указанные правила должны составляться в соответствии с положениями федерального законодательства.

Не допускается применение простой электронной подписи в рамках документооборота, частью которого становятся сведения, составляющие государственную тайну.

Таким образом, если подпись признана аналогом собственноручной — в общем случае правовых последствий ее проставления на документе не избежать.

Исключения из этого правила — компрометация электронной подписи и ее несанкционированное использование (в том числе неустановленными лицами). Это возможно вследствие:

  • противоправных действий в сфере компьютерной безопасности — которые могут выражаться во взломе информационных систем и получении нелегального доступа к закрытым ключам ЭЦП;
  • коррупционных действий, недосмотра, нарушений действующих локальных и законодательных предписаний сотрудников предприятия, которые приводят к получению доступа к ключам ЭЦП неустановленными лицами или же лицами, не имеющими на то полномочий.

Если указанные правонарушения имеют место — то возможно задействование правовых механизмов, направленных на обеспечение защиты интересов законного владельца электронной подписи. Разумеется, для этого ему нужно будет доказать факт отсутствия личного интереса в совершении теми или иными лицами противоправных действий. При этом, доказанным должен быть и факт принятия пострадавшим лицом всех необходимых профилактических мер, направленных на противодействие действиям хакеров и недобросовестных сотрудников.

Обзор судебной практики

Есть судебные прецеденты, позволяющие говорить о том, что у законных правообладателей ЭЦП в случае компрометации электронной подписи будут все шансы доказать свою правоту и защитить свои интересы.

Так, в деле № 1-361/2016, рассмотренном Промышленным районным судом Ставрополя, в качестве обвиняемого фигурировал финансовый директор ООО, а в качестве пострадавшей стороны — директор фирмы. Обвиняемый, использовав электронную подпись директора без разрешения (то есть, факт передачи ему закрытого ключа ЭЦП не был документально зафиксирован), похитил у фирмы более 1 млн. рублей. Преступник был признан виновным.

Таким образом, одним из аргументов в защиту интересов правообладателя ЭЦП при компрометации электронной подписи может быть отсутствие документально подтвержденных фактов передачи закрытого ключа сторонним лицам. В свою очередь, если такой документ был — и, как следствие, подтверждено, что владелец ЭЦП под свою ответственность передал подпись другому человеку — защитить свои права владельцу ЭЦП будет несоизмеримо сложнее.

В деле № А60-32436/2015, рассмотренное Арбитражным судом Свердловской области, фигурирует человек, который незаконно завладел чужой ЭЦП (оформленной на другого сотрудника фирмы), предоставив в УЦ «липовую» доверенность на получение электронной подписи. С помощью данной ЭЦП он заключил договор, по которому у фирмы возникли обязанности по оплате товара. Фирма не признала эти обязанности, сославшись на то, что ЭЦП была использована лицом, не имеющим на то правомочий. И суд поддержал ее — признав электронную подпись, которая была получена незаконно, недействительной. Как следствие — договор, по которому фирма должна была произвести оплату поставок, был также признан недействительным.

Выходит, что при получении сторонним лицом доступа к электронной подписи с использованием поддельных документов у владельца ЭЦП также есть все шансы избежать правовых последствий, связанных с применением подписи данным лицом (либо иными лицами, которые по тем или иным причинам получили доступ к подписи). Но если документы на получение электронной подписи будут легальны — ситуация может сложиться совершенно иначе.

Очевидно, что во втором прецеденте определенную роль в возникновении правовых последствий сыграли и действия удостоверяющего центра. Не исключено, что поддельная доверенность имела все необходимые признаки легальности, но факт — УЦ «пропустил» ее. Наверняка его специалисты в данном случае предприняли все необходимые действия для проверки доверенности на предмет подлинности, и данный факт предопределил отсутствие каких-либо претензий к УЦ.

Но совершенно очевидно,  что в подобных случаях в интересах любого УЦ — исключительно строго проверять подобные документы, поскольку есть вероятность, что суд признает действия специалистов такой организации, одобривших «липовую» доверенность, намеренными (либо в сговоре с предъявителем «липовой» доверенности). Тогда Удостоверяющему центру придется нести ответственность за правовые последствия, связанные с применением незаконно полученной электронной подписью.

Как подстраховаться

Безусловно, в интересах законного правообладателя ЭЦП — свести к минимуму подобные прецеденты. Если это организация, то в ней могут быть приняты внутрикорпоративные регламенты, направленные на:

  1. Разграничение доступа к документам, которые:
  • позволяют получить в распоряжение закрытые ключи ЭЦП;
  • предоставляют сотруднику полномочия задействовать имеющиеся ключи ЭЦП;
  • позволяют передать ЭЦП в пользование сторонним лицам.
  1. Принятие всех необходимых мер, направленных на повышение степени защиты информационной системы предприятия. На практике такие меры могут выражаться:
  • в определении ответственных сотрудников, которые должны своевременно оснащать компьютеры фирмы антивирусными программами и иными видами ПО для защиты данных;
  • в модернизации коммуникационной инфраструктуры, направленной на повышение уровня безопасности обмена данными внутри предприятия, с различными внешними субъектами;
  • в проведении профилактической работы технической и социальной направленности — в части повышения уровня информационной безопасности на предприятии.
  1. Регламентацию взаимодействия сотрудников, в распоряжении которых находится электронная подпись, и работников, отвечающих за виды деятельности в организации, связанные с ее участием в правоотношениях, при которых осуществляется электронный документооборот.

Сведения о проведения указанных мероприятий должны по возможности документироваться — чтобы в случае необходимости доказать факт их осуществления в судебном споре.

Разновидности для электронного документооборота (ЭДО)

Итак, мы уже знаем, что предпринимателю или обычному гражданину на практике может потребоваться несколько разновидностей ЭЦП для вступления в определенные правоотношения. Если рассматривать правоотношения конкретно в бизнесе, то для обеспечения электронного документооборота в них, как правило, требуется оформление ЭЦП:

1. Для налоговой отчетности

Такая электронная подпись позволяет сдавать в ФНС в электронном виде:

  • налоговые декларации;
  • расчеты;
  • прочие отчетные документы по законодательству (например, справки 2-НДФЛ).

ЭЦП для отчетности во многих случаях также позволяет взаимодействовать с ФНС по произвольным запросам. Например — связанным с подтверждением применения определенной системы налогообложения (как вариант, УСН) для контрагента или иных заинтересованных лиц.

В рассматриваемых целях обязательно применяется усиленная квалифицированная электронная подпись.

Отметим, что электронная подпись, используемая для налоговой отчетности, во многих случаях подходит для регистрации онлайн-касс в соответствии с Законом № 54-ФЗ. Важно, чтобы сертификат ЭЦП был действующим и была техническая возможность задействовать его при регистрации ККТ на сайте ФНС России. То есть — сертификат не должен быть облачным (поскольку извлечь его из облачного сервера будет сложно), а выдавший его удостоверяющий центр не должен ограничивать применение сертификата при использовании стороннего программного обеспечения (в данном случае, веб-интерфейсов на официальном сайте налоговой службы России).

2. Для взаимодействия с контрагентами

Здесь речь пойдет об электронной подписи, позволяющей заверять:

  • договоры (купли-продажи товаров, оказания услуг);
  • товаросопроводительные документы (счета-фактуры, накладные);
  • финансовые документы (отчеты, акты).

В рассматриваемых целях возможно применение, в принципе, любой разновидности ЭЦП — даже простой (если это предусмотрено договором между частными хозяйствующими субъектами, и простая подпись соответствует требованиям, установленным ст. 9 Закона № 63-ФЗ). Но на практике организации стараются максимально повышать защищенность документооборота, и договариваются использовать усиленные электронные подписи.

3. Для взаимодействия с иными государственными структурами

Здесь речь может идти об участии хозяйствующего субъекта в самом широком спектре правоотношений. Например:

  • в поставках товаров и услуг в рамках государственных закупок, тендеров, в том числе и в оборонной сфере;
  • в оформлении таможенных документов;
  • в сделках с недвижимостью;
  • в арбитражном судопроизводстве;
  • в разработке тарифной политики по различным отраслям.

Как правило, для участия в каждой из указанных групп правоотношений требуется отдельная подпись — относящаяся к категории усиленных квалифицированных ЭЦП.

4. Для взаимодействия с банками

Здесь электронная подпись нужна для:

  • управления расчетным счетом (счетами);
  • обращения в банк для оформления выписок, отчетов;
  • подачи кредитных заявок;
  • направления произвольных запросов в обслуживающий банк.

Как правило, в рассматриваемых целях банк оформляет для клиента одну усиленную электронную подпись.

5. Для ЕГАИС и прочих информационных систем

Здесь электронная подпись может потребоваться, к примеру:

  • предприятию, осуществляющему продажу алкогольной продукции;
  • предприятию, реализующему древесину;
  • работодателю, оформляющему больничный лист;
  • финансовой организации, отчитывающейся в ЦБ РФ;
  • поставщику жилищно-коммунальных услуг.

Указанные субъекты в ходе своей работы, таким образом, стабильно обращаются к ресурсам определенных государственных информационных систем. Для каждого типа правоотношений, опять же, как правило, требуется отдельная усиленная квалифицированная электронная подпись.

Примечательно, что большинство разновидностей ЭЦП, которые предназначены для применения перечисленными выше типами хозяйствующих субъектов, в принципе, могут быть объединены на общем носителе закрытых ключей.

Технически соответствующие ЭЦП (фактически — сертификаты для них) можно различными способами комбинировать между собой и продавать как «универсальную» электронную подпись для разных правоотношений. Многие удостоверяющие центры так и делают — за тем, чтобы продавать подписи предприятиям и ИП «пакетным» способом. Это, безусловно, выгодно для заказчика. Но есть еще ряд примечательных нюансов, характеризующих ценообразование на рынке ЭЦП — изучим их.

Сколько стоит оформление ЭЦП

Ценообразование на рынке услуг удостоверяющих центров — крайне несистематизировано. Большое количество организаций, осуществляющих деятельность в данном сегменте, активно конкурируют между собой и предлагают рынку самый широкий спектр тарифов — во многих случаях персонифицированных.

Распространен подход, по которому удостоверяющие центры предлагают своим клиентам пользоваться «конструкторами» электронных подписей — и заказать продукт, который предполагает размещение нескольких ЭЦП (сертификатов ЭЦП) на одном носителе закрытого ключа. Выше мы отметили, что техническая возможность объединения разных сертификатов на одном носителе, как правило, есть, и удостоверяющие центры задействуют ее на практике при формировании рыночных предложений.

Общий принцип определения цены на «конструкторский» продукт, которого придерживаются многие лидеры рынка — когда размещение большего количества сертификатов на одном носителе предполагает удешевление каждого отдельно взятого сертификата. Соответственно, если у хозяйствующего субъекта достоверно имеется потребность в применении большого количества ЭЦП — можно смело объединять их на одном носителе, заказывая соответствующий продукт от УЦ. Так выйдет дешевле в сравнении с покупкой отдельно взятых сертификатов на разных носителях закрытого ключа.

Соответствующий «конструкторский» подход предлагают ведущие игроки рынка — компании «Контур», «Такском», «Тензор» и другие. В зависимости от конкретного сочетания сертификатов, стоимость ЭЦП может варьироваться от нескольких сотен до десятков тысяч рублей (как правило, цена на электронную подпись приводится в расчете на 1 год пользования — стандартный период действия сертификата).

Например, компания «Такском» позволяет пользователям онлайн-касс заказать отдельную ЭЦП — для применения исключительно в целях исполнения требований Закона № 54-ФЗ. Обойдется такая подпись в 1500 рублей. В свою очередь, при покупке продукта «Квалифицированный классик» в компании «Контур» (ССЫЛКА) — стоимостью 3000 рублей в год, пользователю также будет доступен сертификат для проведения операций с онлайн-кассами, а в дополнение к этому широким спектр прочих полезных сертификатов — для отчетности, участия в системах торгов, закупок и т. д.

Таким образом, выбор определенного сертификата (набора сертификатов) электронной подписи — процедура, предполагающая проведение хозяйствующим субъектом довольно большого объема работы в части выявления потребностей бизнеса, связанных с вступлением в те или иные правоотношения. Здесь важно избежать 2 крайностей — явного «недобора» сертификатов (вследствие чего придется потратиться на приобретение дополнительных) и явной переплаты за ненужные, как покажет практика, сертификаты.

Для выявления потребности в оснащении предприятия определенными типами ЭЦП всегда полезно знать специфику применения соответствующих разновидностей электронной подписи. Рассмотрим, в чем данная специфика будет заключаться, если говорить о применении ЭЦП для онлайн-касс.

Каковы особенности применения электронной подписи при работе с онлайн-кассой

Собственно, для чего нужна ЭЦП пользователю онлайн-кассы?

Регистрация ККТ в Налоговой службе

Строго говоря, ЭЦП в данном случае необходима лишь для решения единственной задачи — регистрации контрольно-кассового аппарата (точнее — основного его технологического компонента, фискального накопителя) в ФНС РФ. В общем случае такая регистрация осуществляется через официальный сайт Налоговой службы. Для ее осуществления, как мы уже отметили выше, необходим «файловый» — расположенный на компьютере пользователя, сертификат электронной подписи. Подойдет тот, что оформлен для налоговой отчетности либо отдельный, предназначенный конкретно для регистрации онлайн-касс.

В свою очередь, сертификат, предназначенный только лишь для регистрации онлайн-кассы в ФНС, как правило, не способен обеспечивать применение такой электронной подписи в иных правоотношениях. В этом смысле такой сертификат и тот, что оформляется для отчетных ЭЦП, не следует рассматривать как взаимозаменяемые. «Отчетный» сертификат — более универсален.

Как только онлайн-касса зарегистрирована в Налоговой службе, то необходимость в применении ЭЦП практически отпадает (но только до момента следующей регистрации — например, в связи с истечением срока эксплуатации фискального накопителя). Последующая передача кассовых данных в Налоговую службу (речь идет о фискальных данных — сведениях о транзакциях на кассе) будет осуществляться при посредничестве Оператора фискальных данных (или ОФД). Данная организация отвечает перед ФНС за определение юридической принадлежности фискальных данных и их неизменность на пути между онлайн-кассой от конкретного пользователя и сервером ФНС. То есть — по сути ОФД берет на себя часть функционала электронной подписи.

 

Во взаимодействии пользователя онлайн-кассы и ОФД электронная подпись в общем случае не применяется. Но она, безусловно, может быть оформлена, если пользователь ККТ заказывает у ОФД различные дополнительные услуги — например, связанные с аналитикой по фискальным данным, с мониторингом продаж и ведением статистики по различным показателям. Так, отдельная ЭЦП оформляется для клиентов компании «Контур» в целях защиты их доступа к Личному кабинету на сайте оператора Контур.ОФД (ССЫЛКА). Такая подпись позволяет заказчику и поставщику услуг организовывать эффективный, защищенный документооборот.

Как правило, стоимость оформления «фискальной» ЭЦП входит в стоимость услуг ОФД. Однако, подобные услуги могут оказываться ОФД и без применения электронной подписи клиента. Это обусловлено использованием защищенных каналов обмена данными — когда риск подключения к ОФД неустановленного лица от имени пользователя сводится к минимуму.

ККТ и ЕГАИС

Стоит отметить, что для регистрации онлайн-кассы не может быть применена электронная подпись для систем ЕГАИС (и других государственных информационных систем). Дело в том, что отчетность по ЕГАИС и передача фискальных данных в Налоговую службу — две юридически независимые процедуры, и предполагают вступление хозяйствующего субъекта в разные правоотношения.

При этом, если фирма обязана использовать и онлайн-кассы и отчитываться в ЕГАИС, то ей, скорее всего, придется оформлять две ЭЦП на разных носителях закрытых ключей. «Конструкторские» ЭЦП, которые предполагают применение в рамках одного носителя закрытого ключа нескольких сертификатов —  ЕГАИС и передачи данных в ФНС, практически не распространены.

Во многом это обусловлено более строгими требованиям к организации хранения закрытого ключа на носителе при пользовании ЕГАИС. Программное обеспечение, которое разрешено к применению в целях получения доступа к соответствующей государственной автоматизированной системе, совместимо с ограниченным перечнем носителей. Пока что стандартам ЕГАИС соответствует только 2 типа носителя — Рутокен ЭЦП 2.0 и JaCarta SE.

Как и где получить

Теперь — о том, как осуществляется непосредственно оформление ЭЦП. В самом начале статьи мы определили, что основная задача электронной подписи — та же, что характеризует подпись обычную. То есть, она заключается в удостоверении авторства и юридической принадлежности документа.

Оформить ЭЦП можно:

1. В удостоверяющем центре

Главная задача при оформлении ЭЦП в удостоверяющем центре — идентифицировать пользователя электронной подписи так, чтобы подтверждение того факта, что именно он — автор подписываемого документа, не вызывало никаких вопросов с точки зрения правовых норм. Вместе с тем, такая идентификация осуществляется очень просто — посредством проверки удостоверяющим центром паспорта владельца подписи. Дополнять паспорт могут при этом:

  • страховое свидетельство;
  • ИНН;
  • иное удостоверение личности — например, загранпаспорт.

Обязательно проверяйте УЦ (в который планируете обращаться) на сайте Минкомсвязи России (ССЫЛКА) — он должен быть в списке аккредитованных удостоверяющих центров.

проверка удостоверяющего центра на официальном сайте Минкомсвязи России

Если ЭЦП оформляется на человека, представляющего организацию или имеющего статус ИП, то для получения ЭЦП в удостоверяющий центр также потребуется предоставить документы, связанные с государственной регистрацией фирмы. Прежде всего — свидетельство о постановке на учет в ФНС и выписку из государственного реестра.

Если от лица организации действует другое юридическое лицо, то для оформления электронной подписи на него потребуется ряд дополнительных документов — таких как, например:

  • решение органов управления хозяйствующего субъекта о передаче полномочий на представительство интересов фирмы другому юрлицу;
  • копия устава юридического лица, которому переданы функции представления интересов организации.

Указанные документы дополняются заявкой на выпуск ЭЦП — составляемой по форме удостоверяющего центра, и направляются в УЦ. К моменту сдачи всех документов некоторые УЦ требуют оплатить стоимость электронной подписи — и потому к комплекту может потребоваться приложить банковскую квитанцию об оплате сертификата (одного или нескольких) ЭЦП. Отдельно оплачивается носитель закрытого ключа — который подбирается исходя из назначения конкретной разновидности электронной подписи.

2. В уполномоченном государственном органе

Например — в ФНС России, если речь идет о получении ЭЦП для налоговой отчетности. Преимущества обращения в целях оформления подписи в инстанцию, которая, собственно, будет получать подписанные документы заключаются в том, что:

  • подпись будет бесплатной;
  • сертификат ЭЦП будет универсальным (его можно будет применить, к примеру, для регистрации онлайн-кассы), приспособленным к использованию в большинстве шифровальных программ;
  • сертификат ЭЦП, оформленной государственным органом, даст возможность использовать многие полезные онлайновые сервисы, разработанные таким органом.

Отметим, что все более популярным становится оформление ЭЦП в Многофункциональных центрах (МФЦ) — учреждениях, которые позволяют гражданам (во многих случаях — и юридическим лицам) по различным вопросам взаимодействовать с органами власти в режиме «одного окна».

МФЦ могут наделяться различными посредническими функциями в части оформления электронной подписи для взаимодействия с определенными государственными органами — и обращение туда может быть для заинтересованного лица более удобным, чем визит непосредственно в уполномоченное ведомство.

3. При посредничестве банка

Многие кредитно-финансовые организации, оформляя основную электронную подпись для организации доступа клиента к расчетному счету, предлагают услуги по оформлению ЭЦП иного назначения. При этом, такие услуги во многих случаях бесплатны — и могут быть рассмотрены как часть политики лояльности банковского бренда.

Если вам нужна проверка кассового чека на подлинность онлайн на сайте налоговой для этого можно скачать мобильное приложение.

Какая предусмотрена ответственность за неприменение онлайн-касс для тех, кто должен их использовать.

Об использовании сервиса РОБОКАССА http://online-kassa.pro/ispolzovanie/robokassa-dlya-priema-oplaty-internet-magazinami-po-54-fz.html для приема оплаты нтернет-магазинами.

Видео — как получить электронную подпись через МФЦ:

Похожие статьи
Поделиться:
Добавить комментарий